extra März 2015 Eine Sonderveröffentlichung der Heise Zeitschriften Verlag GmbH & Co. KG Security BSI-Grundschutz Der Kreislauf aus Planen, Umsetzen, Prüfen Von Grund auf sicher Seite II Gute Gründe für den Grundschutz Der Weg des geringsten Widerstands Seite VII Vorschau: Webhosting Server-Hosting Seite XI iX extra zum Nachschlagen: www.ix.de/extra Security Der Kreislauf aus Planen, Umsetzen, Prüfen In die Sicherheit fließt bei vielen Unternehmen laut Umfragen der größte Prozentsatz des IT-Budgets. Einen Leitfaden dazu bieten die IT-Grundschutzkataloge des BSI. Doch was einfach klingt, ist in der Praxis schwierig umzusetzen und bedarf meist der Beratung und der Unterstützung durch Tools. n a l P Do C II in der Regel nicht sofort sichtbar ist. Bereits 1994 hat sich das Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) des Themas angenommen und einen Gefahren- und Maßnahmenkatalog entwickelt, die sogenannten IT-Grundschutzkataloge, die kontinuierlich an die Bedrohungslage angepasst werden. Sie bieten „eine einfache Methode an, um alle Informationen einer Institution angemessen zu schützen“, so das BSI. Die Vorgehensweise ist sehr klar strukturiert. Zunächst müssen in der sogenannten ITStrukturanalyse die IT-Prozesse, t Ac S eit den Enthüllungen von Edward Snowden sind viele Unternehmen und auch Behörden alarmiert. Sie fragen sich, ob die Firmen-IT sicher ist, die Kundendaten geschützt sind und was sie überhaupt machen können, um ihre IT abzusichern. Die Unsicherheit verstärkt sich noch durch die Schlagzeilen zu den vielen „Einbrüchen“ in Firmennetze nebst Diebstahl von Daten, etwa bei Sony. Schnell steht in solchen Fällen die Schuldfrage im Raum: Hat der Administrator die Server nicht zeitgerecht gepatcht, die Firewalls nicht sicher genug konfiguriert oder hat der Vorstand einfach kein Geld für die IT-Sicherheit ausgeben wollen? Denn nach einem erfolgreichen Einbruch in eine gesicherte ITUmgebung ist bald klar, dass viele Umstände den Vorfall erst begünstigt haben. Leider ist es selbst für IT-Fachleute schwer, den Überblick über die diversen Netze, Verbindungen, Server und Querverweise innerhalb der Unternehmens-IT zu behalten. Vieles ist historisch gewachsen, unter Umständen veraltet, kaum dokumentiert und damit nur in den Köpfen der aktuellen oder aus dem Unternehmen ausgeschiedenen Administratoren vorhanden. Häufig liegt ein Teil des Problems auch bei der Geschäftsleitung, weil ITSicherheit Geld kostet und der ROI (Return on Investment) ck he Von Grund auf sicher -Verfahren oder die -Anwendungen ermittelt werden. Und über die IT-Systeme geht es weiter zu Netzen, Serverräumen, Gebäuden et cetera. Den Praktikern in den IT-Abteilungen kommt dies entgegen, denn die Grundschutzkataloge bilden greifbare „Dinge“ ab, und die Verantwortlichen entwickeln quasi das IT-Sicherheitskonzept gleich im Hintergrund mit. Das Problem dabei ist, dass das möglichst vollständige Abbilden der Maßnahmenempfehlungen des BSI auf die eigene IT eine gigantische Menge von Maßnahmen entstehen lässt, die es umzusetzen oder zu prüfen gilt. Dies ist initial mit hohem Arbeitsaufwand verbunden und erfordert bei mittleren und größeren Installationen meist einen eigens dafür angestellten Vollzeitspezialisten – den IT-Sicherheitsbeauftragten. Neben dem IT-Grundschutz gibt es auch andere Rahmenwerke, die man zum Absichern der IT heranziehen kann, etwa COBIT (Control Objectives for Information and Related Technology), ITIL (IT Infrastructure Library) sowie diverse ISO-Normen. Im Vergleich zu diesen Werken ist der IT-Grundschutz allerdings praxisbezogener und durch diverse Tools leichter umsetzbar. Die Dokumentation ist zudem sehr detailliert in ihren technischen und organisatori- schen Hinweisen zur Umsetzung, frei verfügbar und – nicht zuletzt – in Deutsch verfasst. Für Bundesbehörden und ihre Ämter ist die Vorgehensweise nach IT-Grundschutz vorgeschrieben, während andere öffentliche Einrichtungen und Unternehmen die Möglichkeit haben, auch andere der angeführten Normen umzusetzen – häufig abhängig von der Branche und den Märkten, in denen die Organisation agiert. Der ITGrundschutz auf Basis der ISO 27001 ist für Deutschland von hoher Bedeutung, während international tätige Unternehmen sich wohl eher an ISO 27001 ohne Grundschutz halten, da diese Standards auch im Ausland bekannt sind. IT-Grundschutz in mehreren Teilen Das BSI hat den IT-Grundschutz in die IT-Grundschutzkataloge sowie vier BSI-Standards gegliedert, 100-1, 100-2, 100-3 und 100-4. Die Kataloge enthalten sogenannte Bausteine zu einzelnen Themen (Webanwendungen, Cloud-Computing et cetera) oder Systemen (Server, Smartphones usw.), die wiederum aus Beschreibungen der spezifischen Gefährdungen sowie konkreten Schutz- oder Gegenmaßnahmen bestehen. Die BSI-Standards enthalten Empfehlungen des BSI zu Methoden, Prozessen, Vorgehensweisen und so weiter. Standard 100-1 regelt, wie ein Informationssicherheits-Managementsystem (ISMS) aufzubauen ist. Dies beinhaltet die Planung, wie Unternehmensführung, Technik und Mitarbeiter in einen IT-Sicherheitsprozess eingebunden werden sollen. Der Zuständige Das kontinuierliche Überprüfen und gegebenenfalls Verbessern der umgesetzten Mechanismen nach dem sogenannten PDCA-Zyklus (Plan – Do – Check – Act) soll eine dauerhafte Qualität und Aktualität des Sicherheitsprozesses gewährleisten (Abb.ˇ1). iX extra 3/2015 Security muss festlegen, welche Ziele der Prozess haben soll. Damit ist keineswegs nur ganz allgemein IT-Sicherheit gemeint. Das Management muss diesen Prozess anstoßen und Leute benennen, die sich mit der Prüfung der IT-Sicherheit befassen, Ressourcen bereitstellen und sich verpflichten, den Prozess am Laufen zu halten. Damit ist auch klargestellt, dass IT-Sicherheit kein Zustand ist, der einmal erreicht wird, sondern ein zyklischer Prozess, der nie endet und langfristig ins Unternehmen zu integrieren ist (Abb. 1). Der Standard 100-2 „ITGrundschutz Vorgehensweise“ stellt den praktischen Teil dar, der das Abbilden der einzelnen Bestandteile der Unternehmens-IT im Grundschutz begleitet. 100-2 besteht aus mehreren Teilen, die übergreifende Aspekte, Infrastruktur, IT-Systeme, Netze und Anwendungen aus der IT behandeln und auf jeden Bestandteil der Firmen-IT anzuwenden sind. Zu diesem Zweck werden die Bestandteile der IT im Unternehmen erfasst – also ein Informationsverbund modelliert. Bei der Umsetzung kann ein ISMS-Tool helfen, von denen einige als Open Source verfügbar sind. Theoretisch genügt zumindest bei der ITStrukturanalyse auch eine Excel-Tabelle. Nach der Anwendung der oben erwähnten Bausteine folgt unter Umständen eine Zusammenstellung der verschiedenen Gefahren für alle Bestandteile der IT (also auch für Räume, Organisations- iX extra 3/2015 Das Modellieren eines IT-Verbunds und das „Abarbeiten“ der einzelnen Bausteine lässt sich manuell oder mit Softwareunterstützung – hier durch das Open-Source-Tool Verinice – erledigen (Abb.ˇ2). strukturen und Technik), um zu prüfen, ob diese auch für einen erhöhten Bedarf an Schutz ausreichen. Danach empfiehlt das BSI Maßnahmen, um Bedrohungen zu begegnen. BSI-Standard 100-3 behandelt die Risikoanalyse von ITSystemen und gibt diverse Empfehlungen und Beispiele für deren Durchführung. Der relativ neue Standard 100-4 beschäftigt sich mit dem Notfallmanagement und greift wieder mehr organisatorische Aspekte auf. Hat die Geschäftsführung die Notwendigkeit von IT-Sicherheit erkannt, die Verantwortlichen an einen Tisch gebracht und den Prozess angestoßen, wird eine IT-Sicherheitsleitlinie erstellt. Im Kern enthält sie den Geltungsbereich nebst Hauptziel. Außerdem hält sie den Stellenwert der IT-Sicherheit für das Unternehmen fest sowie die Absicht, die IT sicher zu betreiben. Die Geschäftsführung trägt dafür die Verant- III Security wortung. Beauftragt durch die Leitlinie stellen die Verantwortlichen das IT-Sicherheitsteam zusammen und benennen gegebenenfalls den IT-Sicherheitsbeauftragten sowie seine Kompetenzen. Nach Auffassung des BSI hat der IT-Sicherheitsbeauftragte weitgehende Weisungsbefugnis im Bereich IT-Sicherheit. Dies ist sinnvoll, da er für das Umsetzen des IT-Sicherheitskonzepts verantwortlich ist. Trotzdem ist die IT-Sicherheitsleitlinie nur ein strategisches Papier, das vermutlich viele spätere Diskussionen um Ressourcen mit dem Chef erleichtert – IT-Sicherheit ist nun einmal nicht umsonst zu haben und das Einführen auch nicht immer angenehm. Beispielsweise müssen bequeme Admin-Rechte beschnitten oder USB-Ports verboten werden. Für jede Anwendung legen die Verantwortlichen den Schutzbedarf fest und ordnen ihn in die Klassen „normal“, „hoch“, „sehr hoch“ ein. „Normal“ bedeutet, dass die Auswirkungen im Schadenfall begrenzt und überschaubar sind. „Hoch“ wiederum heißt, die Auswirkungen eines Sicherheitsvorfalls können beträchtlich sein. „Sehr hoch“ wird vergeben, wenn die Schadensauswirkungen ein existenziell bedrohliches, katastrophales Ausmaß erreichen können. Jeder dieser Klassen liegen sechs verschiedene Schadenskategorien zugrunde: Verstoß gegen Gesetze/Verträge/Vorschriften, Verstoß gegen das informationelle Selbstbestimmungsrecht, Beeinträchtigung der persönlichen Unversehrtheit, Beeinträchtigung der Aufgabenerfüllung, negative Innenoder Außenwirkung und finanzielle Folgen. Und zu jeder dieser Kategorien wiederum ist die Frage zu stellen, wer bei dem Verlust eines der drei Schutzziele Vertraulichkeit, Integrität oder Verfügbarkeit für den Schaden einsteht. Als Resultat ergibt sich ein Schutzbedarf bei Verlust der Vertraulichkeit, eventuell ein anderer bei Verlust der Integrität und noch ein weiterer beim Verlust der Verfügbarkeit. Pro ITIV Ressource können drei Schutzbedarfseinstufungen zugewiesen werden, die sich aus den sechs Klassen zusammensetzen und „normal“, „hoch“ oder „sehr hoch“ sein können. Natürlich muss jedes Unternehmen für sich festlegen, was Begriffe wie „begrenzt“ oder „beträchtlich“ in Bezug auf die Schadensauswirkung bedeuten. Idealerweise erledigt das das Management in Zusammenarbeit mit den zuständigen Mitarbeitern für Finanzen, Recht und IT. In kleineren Unternehmen wird dies meist der Geschäftsführer allein bestimmen. Für die Kategorie der Klasse „normal“ müssen Grenzwerte festgelegt sein, die bestimmen, welche Kosten, Ausfallzeiten und andere Schäden noch hinzunehmen sind, wenn ein IT-System bei Verlust von Vertraulichkeit, Integrität oder Verfügbarkeit gegen Vorschriften, Datenschutz, persönliche Unversehrtheit, Aufgabenerfüllung, negative Publicity oder Finanzen verstößt – etwa durch Havarien oder kriminelle Einwirkungen. Für den Schutzbedarf „hoch“ ist die Vorgehensweise gleich, aber die Grenzwerte sind höher und die Ausfallzeiten kürzer. Alles, was darüber hinausgeht, ist „sehr hoch“ und würde die Existenz des Unternehmens bedrohen. Gut argumentieren Um die Diskussion um Kosten mit der Geschäftsführung möglichst effizient zu gestalten, ist es zu empfehlen, dass die IT-Sicherheit darlegt, welche finanzielle und organisatorische Konsequenzen beispielsweise eine höhere Verfügbarkeit oder Sicherheit eines Systems hätte. Dann kann die Geschäftsführung eine Kosten-Nutzen-Analyse durchführen und festlegen, welche Schadensumme bei einem Notfall als tolerabel gilt. Gleiches gilt für Systeme mit dem Schutzbedarf „hoch“: Die Schadensumme wäre „beträchtlich, aber nicht existenzbedrohend“ oder eben „sehr hoch“. Eine Definition für alle Kategorien und Schutzbedarfsklassen findet sich auf der BSI-WebseiiX extra 3/2015 Security te. Jeder Bestandteil der IT-Systeme wird nun in diese Schutzbedarfskategorien eingeteilt. Am Beispiel der Kategorie „Finanzielle Auswirkungen“ bei „Verlust der Verfügbarkeit“ lassen sich die Anwendung und Auswirkungen dieser Einteilung erklären. Ein Onlineshop einer Firma XYZ soll seinen Schutzbedarf feststellen. Welche Auswirkungen hat der Ausfall des Onlineshops? Bei Verlust der Verfügbarkeit ist der Shop nicht erreichbar und jede Minute, in der die Kunden nicht bestellen können, kostet Geld. Wie lange dauert die Wiederherstellung des produktiven Zustands des Systems und was kostet das? Bei „Verlust der Vertraulichkeit“ (der Onlineshop wird beispielsweise gehackt) könnte die Kundendatenbank einschließlich der Bankdaten in falsche Hände geraten sein. Dies aber würde Regressforderungen nach sich ziehen. Die Hacker könnten Waren bestellen und nicht bezahlen (oder jemand anderen bezahlen lassen). Das wäre ein direkter finanzieller Schaden. Was passiert bei „Verlust der Integrität“? Die Hacker könnten die Bankdaten von Kunden verändern und auf Kosten anderer Leute bestellen, oder sie könnten über den Webshop Raubkopien verbreiten oder Spam versenden. Das könnte Strafen, Regresszahlungen oder einen schlechten Ruf nach sich ziehen. Die verschiedenen Schutzbedarfsklassen der IT-Systeme werden nach dem Maximum betrachtet, addieren sich nach dem Kumulationsprinzip oder verteilen sich (Verteilungsprinzip). Denn der Onlineshop läuft nicht allein, sondern braucht Server, Netze, Anbindungen und Administration. Für den Schutzbedarf „normal“ kann bei Firma XYZ ein Schaden von 50ˇ000 Euro auftreten und vier Stunden Ausfall, für „hoch“ gibt es eine Grenze von 100ˇ000 Euro und einem Ausfall von acht Stunden, „sehr hoch“ überschreitet beide Werte. Angenommen, der Schutzbedarf liegt jeweils bei „hoch“, weil es das einzige System ist, mit dem FiriX extra 3/2015 ma XYZ Geld verdient. Die Geschäftsführung muss diese Einschätzung des Schutzbedarfs bestätigen oder verändern, wenn etwa die Ausfallzeit nicht niedrig genug für die Einschätzung „hoch“ ist. Dann wäre der Schutzbedarf „sehr hoch“. Somit hätte die IT die Aufgabe, den Onlineshop so sicher zu gestalten, dass er nicht so lange ausfallen kann (etwa durch Hochverfügbarkeit). Die entsprechenden Ausgaben muss die Geschäftsführung freigeben. Anderenfalls trägt das Management die Verantwortung für jeden Schaden, der aus einem Ausfall resultieren würde. Was nicht passieren darf, ist, dass der Schutzbedarf etwa aus falsch verstandener Sparsamkeit künstlich heruntergesetzt wird (also von „hoch“ auf „normal“), wenn es um ein wichtiges System geht. Denn dann müsste die Geschäftsführung einen größeren Schaden tolerieren, als es ihr lieb sein kann. Das stünde im Widerspruch zur Selbstverpflichtung der Geschäftsführung in der IT-Sicherheitsleitlinie. Andererseits ist darauf zu achten, dass die Wichtigkeit von IT-Systemen nicht künstlich hochgespielt wird, denn für manche Mitarbeiter ergibt sich dadurch die Gelegenheit, ihre eigene Bedeutung herauszustellen. Ein Mittelwert von rund 80 Prozent aller IT-Systeme mit Schutzbedarf „normal“ ist für die meisten Unternehmen die Regel. Dieses Mittel kann aber von Branche zu Branche erheblich abweichen (etwa bei Krankenhäusern oder Banken). Angenommen Firma XYZ hat eine Strukturanalyse durchgeführt und die IT-Infrastruktur abgebildet (zum Beispiel mithilfe von Netzplänen und anderen Unterlagen). Danach hat sie jedem System und jeder Anwendung je drei Schutzbedarfsklassen zugeteilt und festgestellt, ob das System in Betrieb ist oder nicht. Anschließend wenden die Ausführenden die einzelnen Bausteine im Grundschutzkatalog auf die einzelnen Bestandteile der IT-Infrastruktur an. Im BSI IT-Grundschutz bezeichnet man dieses Vorgehen als „MoV Security dellierung“ des IT-Verbunds. Übergreifende Bausteine werden einmal auf den Verbund angewendet, andere Bausteine auf jede IT-Ressource (Abbˇ2). Daraus ergeben sich mögliche Gefahren und Gegenmaßnahmen. Alle Maßnahmen sind in sogenannte Siegelstufen eingeteilt: in A (Einstiegsstufe), B (Aufbaustufe), C (für ein ISOZertifikat erforderlich), Z (zusätzliche Maßnahme) und W (für Extrainformationen/ -wissen). Für das Umsetzen ist es sehr empfehlenswert, eine ISMS-Software einzusetzen. Jede Maßnahme ist mit „entbehrlich“, „umgesetzt“, „nicht umgesetzt“ und „teilweise umgesetzt“ zu markieren. Aus der Dokumentation der durchgeführten Schritte ergibt sich das IT-Sicherheitskonzept. Nun kann das Unternehmen einen Basis-Sicherheitscheck durchführen und dabei prüfen, welche Maßnahmen umgesetzt wurden. Das sind am Anfang eventuell relativ wenige. Die Maßnahmen werden an die zuständigen verantwortlichen Stellen geleitet, beispielsweise das Facility-Management, die IT-Abteilung oder an einen Dienstleister. Sukzessive bearbeiten die jeweiligen Verantwortlichen alle Maßnahmen, und der Umsetzungsgrad des IT-Sicherheits- konzepts steigt. Wie erwähnt ist dies kein einmaliger Vorgang, sondern die Maßnahmen müssen immer wieder überprüft und Änderungen in der in der ISMSSoftware abgebildeten IT-Infrastruktur eingepflegt werden. So sieht es das Kernkonzept im BSI IT-Grundschutz vor, das auch „PDCA“ für Plan-Do-Check-Act (Planen, Umsetzen, Prüfen, Handeln, s. Abb.ˇ1) genannt wird, ein zyklischer Prozess ohne Ende. Für alle IT-Anwendungen und die erforderlichen IT-Ressourcen, die mindestens einen Sicherheitsbedarf „hoch“ oder „sehr hoch“ aufweisen, für die kein Baustein im Grundschutzkatalog existiert oder die in völlig fremden Einsatzszenarien betrieben werden, empfiehlt das BSI eine „ergänzende Sicherheitsanalyse“. In einer Risikoanalyse untersuchen die Verantwortlichen die IT-Anwendungen und IT-Ressourcen noch genauer und entwickeln eigene Bausteine oder Prüfverfahren, um das Risiko besser einschätzen sowie geeignete Maßnahmen ergreifen zu können. Diese Vorgehensweise ist im Standard 100-3 „Risikoanalyse“ beschrieben. Stellt sich heraus, dass ein IT-System wirklich sehr wichtig ist, bietet das BSI mit seinen Maßnahmen und Beispielen eine erste Hilfestellung an. Wie weit ein IT-Sicherheitskonzept gehen soll, hängt zum Teil von der Erwartungshaltung ab. Darin liegt auch die Bedeutung der IT-Sicherheitsleitlinie: Die Geschäftsführung muss sie festlegen, nicht die IT-Abteilung. Geht es einem größeren Unternehmen darum, Geschäftspartnern und Kunden zu zeigen, dass die eigene IT sicher ist und man das Thema ernst nimmt, kommt die Organisation an einer Zertifizierung nicht vorbei. Der Prozess ist teuer, da es eines externen Auditors bedarf, und er muss regelmäßig wiederholt werden. In diesem Fall sollten sich alle Beteiligten ganz genau an die Vorgehensweise des BSI halten und sich unter Umständen externe und professionelle Beratung dazukaufen. Ist es für ein Unternehmen aber ausreichend, einen kritischen Blick auf die eigene ITSicherheit zu haben und sie in regelmäßigen Abständen zu überprüfen, sind einige Erleichterungen möglich. So muss man nicht die gesamte IT-Infrastruktur modellieren, sondern nur die Teile, die unternehmenswichtige Systeme beinhalten. Das ist auch für die Zertifizierung erlaubt. Es mag zum Beispiel in einem Unternehmen eine Gebäudesteuerung geben, aber für ein Callcenter ist es Anbieter von Sicherheitsmanagement-Werkzeugen Anbieter 2net Carsten Lang calpana business consulting CONTECHNET Dexevo Produkt Sidoc-Sicherheitsmanagement CRISAM INDART® Professional ISIS12 DHC Business Solutions GRC Partner Greenbone DHC Vision Information Security Manager DocSetMinder Greenbone Security Manager HiScout ibi Systems Indevis HiScout GRC Suite iRIS ISMS INFODAS Kronsoft Netzwerk QE LaB Business Services ReviSEC Secure IT Consult SerNet GmbH synetics SAVe opus i IT@WorkProlog adamant ReviSEC GS-Tool Audit Tool 2006 Verinice Open Source ISMS Tool i-doit Die Übersicht erhebt keinen Anspruch auf Vollständigkeit. VI Website www.sidoc.info/ www.calpana.com/ www.contechnet.de/ www.dexevo.eu/dex/it-sicherheit/it-sicherheit-immittelstand/bsi-grundschutz-im-mittelstand.html www.dhc-gmbh.com/ www.grc-partner.de greenbone.net/learningcenter/task_it_ grundschutz.de.html www.hiscout.com/gstool.html www.ibi-systems.de/grcsuite.php www.indevis.de/de/ueber-uns/it-compliancebei-indevis.html www.save-infodas.de www.kronsoft.de/it-sicherheit/it-sicherheit.html software.netzwerk.de/start/ adamant.q-e.at/ www.revisec-datenschutz.de/gs-tool.htm www.secure-it www.verinice.org consult.com/ www.i-doit.com relativ egal, ob die Jalousiensteuerung funktioniert oder nicht – das Konzept kann diesen Punkt aussparen. Für kleinere Firmen ist auch nicht unbedingt ein hauptamtlicher IT-Sicherheitsbeauftragter notwendig. Das BSI gibt auf der eigenen Seite einige Leitfäden für kleine, mittlere und große Unternehmen an die Hand. Fazit Das Management muss den Rahmen für die IT-Sicherheitspolitik eines Unternehmens vorgeben. Auch kann nur die Führungsebene die Eckdaten der Schutzbedarfskategorien festlegen, denn es geht dabei um existenziell wichtige Entscheidungen. Nach der Auswahl einer ISMS-Software wird der ITVerbund modelliert, in dem alle wichtigen Gebäude, Räume, IT-Systeme und Anwendungen ihren Platz finden. Mit Augenmaß sollte man die erforderlichen Bausteine anwenden, wobei diejenigen Maßnahmen entbehrlich sind, die im speziellen Fall sowieso nicht umzusetzen sind. Bei der Umsetzung der Bausteine sollten die Zuständigen mit A-Maßnahmen beginnen und den Rest später folgen lassen. Schließlich geht es häufig nicht um ein zertifizierbares IT-Sicherheitskonzept, sondern um eine intensive Beschäftigung mit der eigenen IT. Dabei sind die Erfahrungen und Ideen des BSI hilfreich. Unternehmen können anhand der Kataloge den Blick auf den richtigen Teil der IT wenden und Aspekte betrachten, die sie sonst vielleicht nie überprüft hätten. Der IT-Grundschutz ist für Praktiker und Theoretiker gleichermaßen geeignet, und es bleibt jedem Unternehmen selbst überlassen, wie weit es in die Tiefe der Strukturanalyse und Umsetzung der Maßnahmen gehen will. (ur) Alexandros Gougousoudis ist bestellter ITSicherheitsbeauftragter der Künstlerischen Hochschulen in Berlin und zertifizierter TÜV ITSicherheitsbeauftragter der öffentlichen Verwaltung. iX extra 3/2015 Security Der Weg des geringsten Widerstands Gute Gründe für den Grundschutz Klagen über endlose oder schließlich aufgegebene Projekte zum Einrichten eines Sicherheitsmanagements nach ISO-Normen gibt es zuhauf. Eine Alternative dazu liefert das an IT-Strukturen orientierte, weniger individualisierte Grundschutzvorgehen des BSI. Tatsächlich passt gerade die deutsche Norm zu so manchem Unternehmen besser als andere, und das Vorgehensmodell führt häufig zu besserer Umsetzbarkeit. Ü Grundschutz nach BSI aus oder bei den international agierenden Autozulieferern mit der ISO/IEC-Norm 27001. Für die beiden Regelwerke aber gibt es kein festes Entweder-oder mehr, weil eine Organisation heute ein „ISO-Zertifikat auf der Basis von BSI Grundschutz“ erwerben kann. der Zahlungsabwicklung per Kreditkarte. Ein Unternehmen, dessen Prozesse nicht den Sicherheitsvorgaben der Kreditkartenindustrie (PCI DSS) entsprechen, hat in diesem Sektor keine Chance auf Erfolg. PCI DSS steht deshalb nicht zur Diskussion, sondern ist ein Muss, das deshalb sogar erstaunlich oft tatsächlich „gelebt“ wird: In Bereichen, in denen Unternehmen nicht um ein Regelwerk herumkommen, sind sie einfach eher geneigt, es auf seinen Nutzwert abzuklopfen und davon schließlich unter Überwindung aller Vorurteile auch maximal zu profitieren. Ähnlich sieht es bei deutschen Behörden und der angeschlossenen Wirtschaft mit dem Die Qual der Wahl der Qual: Die Norm Quelle: KPMG 2013 ber viele Jahre hinweg ergriffen Unternehmen Maßnahmen für Informationssicherheit, die sich nach einer Norm richten, fast immer nur unter echtem ComplianceDruck. Ein Unternehmen musste, um in seiner Branche erfolgreich zu sein oder überhaupt agieren zu dürfen, ganz bestimmte Industrierichtlinien erfüllen und unterwarf sich deshalb mal mehr, mal weniger zähneknirschend dem Unvermeidlichen. Heute hat sich das Bild ein wenig gewandelt. Natürlich gibt es nach wie vor Geschäftsbereiche, in denen ohne nachweisbare Erfüllung bestimmter Industrievorgaben nichts geht. Dies gilt beispielsweise im Umfeld Je kleiner ein Unternehmen ist, desto weniger mag es seine Sicherheitsmaßnahmen auf eine Risikoanalyse stützen (Abb.ˇ1). iX extra 3/2015 Abgesehen davon setzt sich seit etwa zwei Jahren bei vielen Organisationen der Trend durch, Sicherheitsmanagement normgerecht oder normorientiert zu betreiben, ohne gleich eine Zertifizierung anzustreben. Dass dies gerade jetzt geschieht, erstaunt in gewisser Weise, denn als geeignete Stütze für ein professionelles Vorgehen im Bereich Informationssicherheit hatten Experten und Berater die einschlägigen Normen schon immer angepriesen. Allerdings gilt: Auch Organisationen, die nicht auf den ISOoder Grundschutz-Stempel selbst aus sind, wollen sich den Weg dorthin fast immer freihalten – sei es ausdrücklich oder unausgesprochen. Somit kommen auch sie nicht umhin, sich über die richtige Vorgehensweise und damit über die Norm ihrer Wahl Gedanken zu machen, bevor sie sich einer umständlichen Modellierung und Dokumentation ihrer SecurityTechnik und -Prozesse unterziehen. Für wen also ist „Grundschutz“ das Richtige, wenn die Organisation nicht dazu gezwungen ist, ihn anzuwenden? Außerdem gibt es ja noch die Alternative einer nativen ISO27001-Zertifizierung. Es stellt sich auch die Frage, warum ein Unternehmen heute noch einen „deutschen Sonderweg“ einschlagen sollte. Es gibt zunächst zwei einfache Antworten auf diese Frage, die beide nur unter bestimmten Rahmenbedingungen stimmen, doch immer wieder zu hören sind. Die erste lautet: Grundschutz ist technischer, präziser, schärfer. Für Techniker und Ingenieure klingt dies überaus sympathisch, aber die scheinbare „Präzision“ folgt primär aus einem gegenüber der ISONorm unterschiedlichen Basisansatz: Grundschutz kümmert sich mehr um Details und liefert deshalb auch eine höhere Zahl an umzusetzenden Einzelvorschriften, unternimmt dies aber aus der Perspektive eines angenommenen verallgemeinerbaren Grundbedarfs an Sicherheit. Gleichzeitig ist IT-Sicherheit nach Grundschutz vom Ausgangspunkt her weniger auf die jeweilige Organisation zugeschnitten, die die Norm umsetzen will. Anders ausgedrückt: Der Eindruck der Präzision entsteht, weil gleich zu Beginn klare Vorgaben existieren und die Norm den Anwender weniger dazu drängt, seinen eigenen Bedarf erst einmal zu klären und genau diesen individuellen Bedarf dann optimal abzudecken. Hierzu später mehr, denn genau dies ist ein erstaunlich guter Grund, auf den Grundschutz zu setzen. Die zweite Antwort ist: Als deutsche Norm genießt der Grundschutz höhere Reputation. Dies gilt aber nur, wo deutsche Produkte und Geschäftsbeziehungen zu Deutschland selektiv besonders wichtig genommen werden, was zum Beispiel in manchen arabischen Staaten nach wie vor der Fall ist. Weltweit haben native ISO/ VII Security Im Grundschutzumfeld tätige Firmen Anbieter AirITSystems Applied Security CIO Solutions Cirosec Contechnet DMN Solutions GPP Service HiSolutions Infodas Mikado Procilon Secorvo Secunet Secuvera TBits.net TÜV Informationstechnik Beratung ✓, Notfallmanagement ✓ ✓ ✓ Notfallplanung Notfallplanung ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ Penetrationstests ✓ ✓ Prüfung (Audit) ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ Website www.airitsystems.de/leistungen https://www.apsec.de/consulting/ www.cio-solutions.de/ www.cirosec.de/ www.contechnet.de/index.php/de/ www.dmn-solutions.com/themen/it-notfallplanung/ www.gppag.de/de/gpp-service/IT-Sicherheit/index.html www.hisolutions.com/DE/ www.infodas.de/DE/IT-Security/IT-SiKo-GS www.mikado.de/revisoren# www.procilon.de/ www.secorvo.de www.secunet.com/de/ www.secuvera.de/bsi-pruefstelle/ www.tbits.net/tbitsit-sicherheit/beratungit-grundschutz.html www.tuvit.de/de Die Übersicht erhebt keinen Anspruch auf Vollständigkeit. IEC-27001-Umsetzungen die Nase vorn. Der Fokus bei der Entscheidung für ein Vorgehen nach Grundschutz oder ISO sollte auf einem ganz anderen Aspekt liegen: Der Weg des geringsten Widerstands ist hier der zur größten Sicherheit. Perfektionisten mögen diesen Satz nicht gern hören, aber der Erfolg des Um- oder Aufbaus einer Organisation in Richtung mehr Informationssicherheit hängt zu einem sehr großen Teil davon ab, ob den Verantwortlichen die Überwindung der Widerstände gelingt, die gänzlich neuen Prozessen, Verantwortlichkeiten und Dokumentationspflichten entgegenstehen. Verunglückte ISO27001- und Grundschutzeinführungen gibt es zuhauf, wobei die Versagensrate keinesfalls hauptsächlich mit unerfüllbaren Forderungen der Norm-Designer zusammenhängt. Fehlende Ressourcen, missratene abteilungsübergreifende Kommunikation, die lästigen Dokumentationsaufgaben und der Unwille der Profis, eingeschliffene Vorgehensweisen aufzugeben oder sich externen Vorschriften zu beugen, bringen entsprechende Projekte weit eher zu Fall. Pragmatismus ist deshalb angezeigt. Und hier gilt leider, dass die Einführung eines Sicherheitsmanagements nach der ISO-27001-Norm in Sachen Vermittelbarkeit besondere sysVIII temimmanente Fallstricke bereithält. ISO kommt nämlich im Grunde nie ohne ein eingehendes, umfassendes Risiko-Assessment gleich zu Beginn des Projekts aus. Eine belastungsfähige Risikoeinschätzung aber verlangt, dass ein Unternehmen nicht nur vermeintlich leicht messbare Faktoren wie die Angreifbarkeit bestimmter Server oder Clients durch Hacking-Versuche richtig einschätzt, sondern dass auch Risiken aus möglichem menschlichen Fehlverhalten, Unwissen in unterschiedlichen Fachabteilungen einer Organisation, physische Risiken, Gefahren aus erprobten Business-Prozessen und andere Aspekte diskutiert, dokumentiert und plausibel bewertet werden müssen. Von Vorteil: Gute Kommunikation Dies wiederum bedeutet, dass die IT-Abteilung von vornherein direkt mit den Business-Abteilungen und dem Management zu kommunizieren hat und möglicherweise den Finger in lang verschwiegene Wunden legen muss. Zudem könnte sie schließlich schlafende Hunde wecken (man denke an den Betriebsrat mit seiner qua Gesetz indizierten Allergie gegen unnötige Mitarbeiterbewertungen und -überwachung) und die eingangs erwähnten Widerstände damit genau dort auf den Plan rufen, wo sie ihnen aus eigenem Sachverstand am wenigsten entgegenzusetzen hat. Das geforderte Risiko-Assessment bedeutet in vielen ISO-Projekten, dass die IT-Abteilung vom Start weg zunächst einen langwierigen, aus ihrer Sicht schwer zu beherrschenden Weg einzuschlagen hat, der vermutlich auch schon die höchsten Projektrisiken in sich birgt (Abb.ˇ1). Um keine Missverständnisse aufkommen zu lassen: In Unternehmen, in denen jeder Mitarbeiter weiß, dass der Erfolg primär von der Sicherheit oder Vertraulichkeit von Informationen abhängt (technischer Vorsprung, Patente, einzigartige Kundenbestände und so weiter), tauchen die beschriebenen Probleme gar nicht erst auf oder sind durchaus überwindbar, zumindest wenn das Management mitzieht. Organisationen mit außergewöhnlichen IT-Infrastrukturen wiederum kommen mit den standardisierten Grundschutzvorgaben vielleicht gar nicht zurecht. Sie benötigen von vornherein die individuelle Ausprägung und den Gestaltungsspielraum, den die ISO-Norm bietet, um überhaupt mit absehbarem Aufwand „compliant“ werden zu können. In „normalen“ Unternehmen mit typischer IT allerdings, in denen der Wert von Informationssicherheit und Datenschutz überdies vielleicht nicht jedem Beteiligten unmittelbar einleuchtet, sieht dies anders aus. Und genau hier liefert ein Vorgehen nach Grundschutz den IT-Abteilungen mitunter einen argumentativen Königsweg. Um dies zu verdeutlichen, sei ausnahmsweise der Versuch erlaubt, Vergleiche zwischen der Informationssicherheit und der Verkehrssicherheit zu ziehen. Normalerweise bringt dies immer Verdruss und schiefe Analogien, aber hier passt das Vorgehen. Grundschutz, auf Fahrzeuge angewendet, bedeutet: Jedes rollfähige Gefährt, das mehr als Schrittgeschwindigkeit zu erreichen vermag, braucht ohne Wenn und Aber adäquates Licht (genau definiert) und adäquate Bremsen (Leistung ebenfalls definiert), sonst darf es nicht auf den Markt. Hat das Fahrzeug einen Motor, muss es nachweisbar Sicherheitsgurte, Airbags und noch ein paar andere (von der Wirkung her wiederum definierte) technische Ausstattungsmerkmale nach dem Stand der Technik an Bord haben. Dies gilt zunächst unabhängig davon, ob individuell gerade ein kleines Cabrio, ein großer Bus oder ein Gefahrguttransporter betrachtet wird. Dass bei kritischen Fahrzeugen von Fall zu Fall mehr zu tun ist, ist in der Norm explizit erwähnt, käme aber erst im nächsten Schritt auf den Tisch. iX extra 3/2015 ISO 27001 würde demgegenüber – überspitzt formuliert – von vornherein erst einmal gar nichts definieren, sondern festlegen, dass der Erbauer eines Fahrzeugs sein Fahrzeug auf Gefahrenpotenziale für Nutzer und Unbeteiligte zu untersuchen habe und dann die geeignete (!) Technik einbauen solle, um die Risiken auf ein vernünftiges (!) Niveau herunterzuschrauben. Dies wiederum habe er nachvollziehbar zu dokumentieren, und dies wiederum habe ein externer Auditor für gut genug oder schlecht zu befinden. Es ist unmittelbar klar, in welchem Fall mehr interne Diskussionen, Widerworte und gute Gründe gegen Bremsen (zu teuer), Licht (stört das Design) und andere Punkte (allesamt viel zu teuer) auf die Tagesordnung gerieten. Die Autowelt ist deshalb aus guten Gründen in allen Ländern eine „Grundschutzwelt“ mit scharfen Sicherheitsnormen, die auf einem be- iX extra 3/2015 stimmten Niveau keinerlei Diskussionsspielraum zulassen. Ähnliches gilt im Grunde für viele andere Maschinen, für Chemikalien, für Gebäude und für andere Gegenstände aus dem realen Leben. Natürlich ist dieses Prinzip auf die komplexe IT-Welt nicht eindeutig anwendbar. Die gespeicherten Informationen, so Kritiker, haben einen von Organisation zu Organisation viel zu unterschiedlichen Wert, als dass ein gemeinsamer Basisstandard für alle zu definieren sei. Aber wer zum Beispiel will tatsächlich keine Ausfallsicherheit und deshalb auf Firewalls und Virenschutz verzichten? Außerdem arbeiten viele Unternehmen durchaus mit vergleichbarer, eben „typischer“ Hard- und Software und entsprechend vorhersagbaren Netzarchitekturen, und schließlich hat der Grundschutzansatz den bereits angedeuteten, unbestreitbaren Vorteil in Sachen Durchsetzbarkeit: Quelle: BSI Security Je „normaler“ die IT eines Unternehmens, desto geringer ist der Aufwand zur ISO-Zertifizierung auf der Basis von IT-Grundschutz (Abb.ˇ2). In einem Unternehmen wird sich wohl kaum jemand dem Ansinnen entgegenstemmen, mindestens eine allgemein akzeptierte Basissicherheit durchzusetzen, um in der eigenen Branche nicht als unzuverlässig dazustehen. Ein Risiko-Assessment dagegen öffnet das Tor zu einer Fülle von Einspruchsmöglichkeiten und Ideen, wie man die IT-Abteilung als weltfremd oder kontraproduktiv darstellen könnte. Da für viele Organisationen mit mäßigem oder mitt- IX Security Zahlreiche Hilfsmittel ermöglichen es Unternehmen, eigene Sicherheitskonzepte zu erstellen – hier mithilfe von Webschulungen (Abb. 3). lerem Risiko-Level das Ergebnis in beiden Fällen das gleiche nach ISO 27001 zertifizierbare Sicherheitsmanagement sein kann, ist der Grundschutzansatz also eine Überlegung wert – und sei es als Abkürzung zu einem sonst eher steinigen Weg. Läuft ein Projekt erst einmal, lassen sich ja immer noch einzelne Risiken gesondert erheben, um nicht zu hohe Kosten entstehen zu lassen. Der Vorschlag, native ISO-27001-Vorgehensweisen mit einem Ansatz auf Grundschutzbasis vor dem Hintergrund der kommunikativen Durchsetzbarkeit zu ergleichen, ist das Ergebnis einer kühlen Abwägung der Erfolgsaussichten in typischen IT-Umgebungen. Ein Bezug auf die Bausteine der überdies frei verfügbaren und damit jedem Gesprächspartner zugänglichen Grundschutzkataloge macht Argumentationen gegenüber IT-fremden Fachabteilungen und Managern recht einfach. Die Grundprämisse der Grundschutzautoren lautet: Es gibt in einer Organisation Prozesse, die Anwendungen benötigen, welche auf verschiedenen (typischen) IT-Systemen laufen, welche sich wiederum in dazu mehr (Rechenzentrum) oder weniger (Büros) geeigneten Räumen innerhalb von Gebäuden befinden müssen. Für die Anwendungen, die IT-Systeme und die Räume liefert die Norm dann „Gefährdungskataloge“ mit Listen von möglichst allgemeingültigen Gefahren und Angriffsflächen und „Maßnahmenkataloge“ mit typischen Gegenmitteln. Gefährdungen und Eintrittswahrscheinlichkeiten werden pauschalisiert, und für einen durchschnittlichen Schutzbedarf finden sich konkrete Hinweise für die Umsetzung von Standardsicherheitsmaßnahmen. Bei den ersten Schritten zu einem Sicherheitsmanagement nach Grundschutzvorgaben befindet sich die IT-Abteilung soX mit fast ausschließlich auf vertrautem Terrain, denn die Norm nähert sich der konkreten IT-Landschaft auf der Basis einer Strukturanalyse der IT-Ressourcen: Anwendungen und Programme auf Computern und Netzwerkhardware im Rechenzentrum und in der Hand der Anwender, jeweils vernetzt oder nicht. Organisatorische und personelle Aspekte werden dabei nicht ausgeklammert, aber auf eine Art einbezogen, wie sie die IT-Abteilung normalerweise sieht: von ihren Systemen aus. Hier also dürfen die IT-Fachleute nicht nur so vorgehen, wie sie es gewohnt sind, sondern sie müssen es sogar. Dies betrifft auch das, was im PCI-DSS- und ISO-Umfeld als „Scoping“ bezeichnet würde, nämlich das Festlegen jener Teile der IT, die nach der Grundschutznorm überhaupt gesichert werden sollen, um ein Projekt nicht zu groß werden zu lassen. Im Grundschutzjargon geht es dabei um einen „Informationsverbund“, das heißt Systeme, die logisch eine Einheit bilden. Auch hier ist die ITStruktur, ähnlich dem in PCI-DSS-Audits so bedeutsamen Netzwerkdiagramm, die Grundlage – ebenfalls vertrautes Terrain für die IT (Abb.ˇ2). Grundschutz ist basisorientiert und „bequemer“ Die IT-zentrierte Perspektive bleibt auch bei jenem Schritt bestehen, der dem RisikoAssessment eines nativen ISO-27001Vorgehens am nächsten kommt: die Schutzbedarfsanalyse. Für einzelne IT-Einheiten, etwa Server, wird bestimmt, welche Anwendungen darauf laufen, welche Informationen deshalb verarbeitet werden und wie hoch somit das Gefährdungspotenzial für Vertraulichkeit, Integrität oder Verfügbarkeit ist: „normal“, „hoch“ oder „sehr hoch“. Die Anwendung mit dem höchsten Gefähr- dungspotenzial bestimmt dann das Schutzniveau für den Server, auf dem sie läuft. Um eine Auseinandersetzung mit den Fachabteilungen und eine Diskussion zur gemeinsamen Einschätzung kommt die IT hierbei natürlich nicht herum, aber sie kann es wiederum von ihrer Basis aus tun. Dies ist aus Administrationssicht tendenziell bequemer als eine Herangehensweise, die erst die Analyse der Business-Prozesse nahelegt und anschließend prüft, welche Sicherheitsangebote die IT dafür zur Verfügung stellt. Die gleiche Bequemlichkeit bietet auch jenes Element, das in der PCI-DSS- oder ISO-Sicht eine „Gap-Analyse“ ist: der Abgleich der bereits umgesetzten Sicherheitsmaßnahmen mit den Anforderungen, die sich aus der Schutzbedarfsanalyse ergeben. Im Grundschutzumfeld heißt dieser Schritt „Basis-Sicherheitscheck“ und wird, da hier grundsätzlich auch Standardsicherheitsmaßnahmen ohne vorheriges Risiko-Assessment zählen, fast immer das beruhigende Ergebnis liefern, dass die IT wichtige Schritte hin zur Compliance bereits ganz von allein gegangen ist. Risiko-Assessment durch die Hintertür Echte Risikoanalyse fordert der Grundschutz immer, wenn die oben beschriebene Bedarfserhebung ein „erhöhtes Gefährdungspotenzial“ zutage gefördert hat. Auch hier ist der argumentative Vorteil nicht zu unterschätzen. Die IT-Abteilung geht zunächst davon aus, ein Standardprogramm umsetzen zu können. Dann findet sie mithilfe der Fachabteilungen heraus, dass bestimmte Informationen innerhalb der Organisation viel wichtiger für deren Überleben sind als ursprünglich angenommen. Dafür eine partielle, zielgerichtete, genaue Analyse einzufordern, ist weit einfacher, als eine globale Risikoermittlung für ein ganzes Unternehmen anzustoßen – und das Gleiche gilt für die Umsetzung der Maßnahmen, auf die man sich dann einigen kann. Die Grundschutzausrichtung auf verallgemeinerbare Maßnahmen macht sich auch im Umgang mit externen Dienstleistern positiv bemerkbar. Sowohl Berater als auch Auditoren können zumindest zu Beginn ihrer Tätigkeit Schritt für Schritt viele klare Vorgaben an die IT aus den Grundschutzkatalogen auf weitgehend vorhersagbare Weise abhaken. Die Gefahr, über individuelle Auslegungen der Norm streiten zu müssen, ist also reduziert. Größerer Raum für Interpretationen findet sich erst in jenen Bereichen, die bereits als besonders heikle Sektoren mit erhöhtem Schutzbedarf definiert sind und bei denen alle Beteiligten im Unternehmen einen gewissen Diskussionsbedarf akzeptieren werden. iX extra 3/2015 Security Den Weg zum grundschutzkonformen IT-Dasein kann sich eine Organisation mit einer Reihe von Werkzeugen leichter gestalten. Diese Tools kommen eher als beim ISOorientierten Vorgehen „von der Stange“. Zu den nützlichen Tools gehören zunächst Dokumentenmanagementsysteme, die automatisch über die Versionen und die Fortschritte der Dokumentationen des IT-Managements und der Maßnahmen wachen. Zum Erfassen der IT-Infrastruktur dienen banale Hilfsmittel wie Tabellenkalkulationen und Software zum Zeichnen von technischen Diagrammen einerseits und Prozessabläufen andererseits, aber auch Inventarisierungshilfen, die die Systeme im Netzwerk so weit wie möglich automatisch erfassen und die typische Zuordnung von Namen, Softwareversionen, Benutzergruppen, Patch-Level und Weiteres mehr erleichtern. Gibt es „erhöhten Schutzbedarf“ und somit Grund für eine Risikoanalyse, kann der Anwender auf eine angesichts anderer Compliance-Anforderungen stetig steigende Zahl an Werkzeugen zurückgreifen, die die Arbeit mit den Risikoparametern erleichtern. Wunder darf man von diesen meist hochkomplexen und durchaus nicht immer intuitiv bedienbaren Tools allerdings nicht erwarten – das Nachdenken und die Diskussion über Angriffs- und Folgeszenarien kann keine Software den Verantwortlichen abnehmen. Die Kontrolle der Umsetzung schließlich ist das Terrain von Security-Scannern oder Scan- und Penetration-Testing-Services. Im technischen Bereich zeigen sie, ob nach Grundschutz gesicherte Systeme tatsächlich hinreichend geschützt oder gehärtet sind, um gängigen Angriffen zu widerstehen. Der Vertrieb des lange Zeit immer wieder diskutierten und häufig kritisierten, im Auftrag des BSI entwickelten GSTOOL als Gesamtwerkzeug für die Grundschutzumsetzung ist übrigens Ende 2014 ausgelaufen, da das Projekt zu dessen Aktualisierung scheiterte. Fazit Klagen über endlose oder schließlich aufgegebene Projekte zum Einrichten eines Sicherheitsmanagements nach ISO 27001 gehören zu den Standardthemen der ITBranche. Manchem Unternehmen könnte es helfen, wenn es auf die möglichen kommunikativen Projektrisiken und zu erwartenden Widerstände vor Beginn der Compliance-Arbeiten wenigstens einen Bruchteil der Energie verwendet, die bei einem nativen ISO-Ansatz für das initiale Risiko-Assessment fällig wäre. Kommt dabei heraus, dass das an IT-Strukturen orientierte, weniger individualisierte Grundschutzvorgehen mit der zumindest zu Beginn geringeren Präsenz des Problemfaktors „Risiko-Assessment“ strategische Vorteile bietet, sollte die IT-Abteilung diesen Weg einschlagen. Das ist kein Zeichen von Feigheit, sondern Pragmatismus im Dienste der Sicherheit. Denn ein gescheitertes Projekt bringt den Beteiligten am wenigsten. (ur) Johannes Wiele ist Sicherheitsberater, Dozent und Awareness-Experte. In iX extra 04/2015 Server-Housing: Die Kür für den Webhoster Wenn dedizierte Mietserver nicht alle Anforderungen erfüllen, können Kunden auch eigene Geräte im Rechenzentrum eines Hosters unterstellen. Fürs Server-Housing – auch als Colocation bezeichnet – lässt sich nicht nur kundenspezifische Hardware nutzen, sondern ebenso ein eigenes Sicherheitskonzept umsetzen. Da sich Rackmount-Gehäuse als Formfaktor durchgesetzt haben, findet das Housing meist in Gestalt von Höheneinheiten in einem 19-Zoll-Schrank statt. Reicht das nicht aus, können Kunden sogar separate Räume anmieten und darin eigene Serverschränke aufstellen. Das kommende iX extra gibt einen Überblick über die Angebote der deutschen Hosting-Provider. Erscheinungstermin: 26. März 2015 Die weiteren iX extras: Ausgabe Thema 07/15 Geschäftskritische Daten absichern 25.06.2015 09/15 Webhosting Application-Hosting 27.08.2015 10/15 Trends & News 2015 24.09.2015 Cloud-Computing Security iX extra 3/2015 Erscheinungstermin
© Copyright 2024 ExpyDoc
